「未知のランサムウェア検知機能」による過剰検知(誤検知)の対応方法について

Q&A管理番号:1070001 更新日:2019年7月25日

対象製品 EX AntiMalware、EX AntiMalware v7
対象Ver V6、V7
  • 「未知のランサムウェア検知機能」による過剰検知(誤検知)の対応方法について

  • 不正な暗号化振る舞いを検知してブロックする仕様になりますが、正規の暗号化ソフトによる
    連続したファイル暗号化、または正規のアプリによる連続したファイルへの操作に対しても
    過剰に反応することがあります。
    その場合は、下記の手順に沿って対応を行ってください。

はじめに

正規の暗号化ソフトやアプリも振る舞いによっては、検知対象になる可能性があります、
その場合は、除外設定を行いホワイトリストに登録する必要があります。

下記の例では、ウェブブラウザであるMicrosoft Edgeの振る舞いに対して過剰に反応したケースとなります。
MicrosoftEdgeCP.exeがtest[1].png、test[2].png、example10_2-206×206[1].pngのファイルを連続して
暗号化していると判定され、MicrosoftEdgeCP.exeの挙動がブロックされる共に警告ダイアログが表示されている状態です。

EX AntiMalware v7

ランサムウェア情報:
C:\Windows\System32\MicrosoftEdgeCP.exe

検知ファイル:
C:\Users\[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\IOQZLLZS\test[1].png
C:\Users\[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\A9G7C5N0\test[2].png
C:\Users\[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\YZTKH4N6\example10_2-206×206[1].png

Ahkun EX AntiMalware

※こちらは動作テスト時の画面となります。

対処方法

Microsoft Edgeの例のように正規アプリの挙動がランサムウェアと判定されブロックされた
場合でも、ランサムウェアとして検知「ブロック」されたファイル(例では、MicrosoftEdgeCP.exe)の感染有無を確認する必要がありますので、カスタマーサポートまでお問い合わせください。

Mail : support@fuva-brain.co.jp

※可能であれば以下の情報をご記入ください
アカウントID
ご連絡先
ご担当者
未知のランサムウェア検知時の状況(何をしている時に検知されたのか)
ランサムウェア情報と検知ファイル

ただし、カスタマーサポート窓口の対応時間外で緊急な対応が必要な場合は下記の手順に沿って対応を行ってください。
※緊急対応は不要な場合は、該当PCをシャッドダウンせずにネットワークから切断(LANケーブルを外す)した状態で
カスタマーサポートの対応時間内にご連絡ください。

  • 1

    未知のランサムウェアとしてブロックされたファイルの感染有無を確認

    ①MicroSoft関連のソフト、またはお使いの業務関連ソフトが「ランサムウェア」として検知されている場合は誤検知の可能性が高いです。

    下記は正規ソフトの振る舞いに対して過剰に反応した誤検知事例です。
    ・Officeなどの業務ソフト操作時に警告ダイアログが表示された。
    ・警告ダイアログの「ランサムウェア情報」がお使いの正規ソフトのファイルパスである。

    MicroSoft Office
    ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Word_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\WINWORD.EXE

    ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.EXE

    ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Excel_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\EXCEL.EXE

    Kingsoft Office
    ランサムウェア :C:\Program Files (x86)\Kingsoft\WPS Office\10.8.0.6184\office6\wpp.exe

    ランサムウェア :C:\Program Files (x86)\Kingsoft\WPS Office\10.8.2.6709\office6\et.exe

    Adobe関連製品
    ランサムウェア :c:\program files (x86)\common files\adobe\adobe desktop common\hdbox\setup.exe

    ②ファイルのマルウェア検査を行うウェブサイトであるVirusTotalでランサムウェアとして検知されたファイルの感染有無をチェックします。

    例)C:\Windows\System32\MicrosoftEdgeCP.exe

    https://www.virustotal.com

    ③上記手順の①と②で正常なファイルと判断できたら除外設定に進みます。

     

     

     

     

     

  • 2

    除外設定を行いホワイトリストに登録する

    上記1の手順で未知のランサムウェアとして検知(ブロック)されたファイルが正常なファイルと判断できた場合は「除外設定」をクリックし、確認ダイアログで「はい」をクリックします。

     

  • 3

    Managerのポリシーにも除外設定を行う

    クライアントプログラムでの除外設定は一時的なものとなりますので、60分以内にはManagerサーバとのポリシー通信で元の設定に戻ってしまいます。

    Managerログイン→該当ポリシー→除外でも同じファイル名を除外設定に追加してください。

    ①EX AntiMalware Managerにログインし、除外設定を行います。

     

Q&A検索キーワードで探す

カテゴリで絞り込み

製品・サービスの
テクニカルサポートについて

製品・サービスのテクニカルサポートについて

製品・サービスのテクニカルサポートについて

ご購入前のお客様の技術サポートは基本的にお受けしておりません。
製品に関する技術的なご質問や製品評価時のご質問につきましては、弊社代理店 または弊社営業
担当 までお問い合わせください。

遠隔ソフト お問い合わせ

pageTop